UDP洪水（UDP flood）
概览： UDP flood攻击的原理是使两个或两个以上的系统之间产生巨大的UDP数据包。这样会形成很大的数据流量。当多个系统之间互相产生UDP数据包时，最终将导致整个网络瘫痪。如果涉及的主机数目少，那么只有这几台主机会瘫痪。
防御：通过在阿姆瑞特防火墙设置阻断来自Internet的请求这些服务的UDP请求。
 死亡之ping （ping of death）
概览：由于在早期的阶段，路由器对包的最大尺寸都有限制，许多操作系统对TCP/IP栈的实现在ICMP包上都是规定64KB，并且在对包的标题头进行读取之后，要根据该标题头里包含的信息来为有效载荷生成缓冲区，当产生畸形的，声称自己的尺寸超过ICMP上限的包也就是加载的尺寸超过64K上限时，就会出现内存分配错误，导致TCP/IP堆栈崩溃，致使接受方当机。
防御：通过在阿姆瑞特防火墙设置，阻断ICMP以及任何未知协议，都讲防止此类攻击。
 泪滴（teardrop）
概览：泪滴攻击利用那些在TCP/IP堆栈实现中信任IP碎片中的包的标题头所包含的信息来实现自己的攻击。IP分段含有指示该分段所包含的是原包的哪一段的信息，服务器在收到含有重叠偏移的伪造分段时将崩溃。
防御：通过在阿姆瑞特防火墙设置，对分段进行重组，而不是转发它们。
 Land攻击
概览：在Land攻击中，一个特别打造的SYN包它的源地址和目标地址都被设置成某一个服务器地址，此举将导致接受服务器向它自己的地址发送SYN-ACK消息，结果这个地址又发回ACK消息并创建一个空连接，每一个这样的连接都将保留直到超时掉，对Land攻击反应不同，许多UNIX实现将崩溃，Windows变的极其缓慢。
防御：通过在阿姆瑞特防火墙设置，将源地址和目标地址相同的数据包丢掉。
 Smurf攻击
概览：一个简单的smurf攻击通过使用将回复地址设置成受害网络的广播地址的ICMP应答请求（ping）数据包来淹没受害主机的方式进行，最终导致该网络的所有主机都对此ICMP应答请求作出答复，导致网络阻塞，比ping of death洪水的流量高出一或两个数量级。更加复杂的Smurf将源地址改为第三方的受害者，最终导致第三方雪崩。
防御：通过在阿姆瑞特防火墙设置规则，丢弃掉ICMP包。
 地址扫描
概览：运用ping这样的程序探测目标地址，对此作出响应的表示其存在。
防御：通过在阿姆瑞特防火墙设置过滤掉ICMP应答消息。
 端口扫描
概览：通常使用一些软件，向大范围的主机连接一系列的TCP端口，扫描软件报告它成功的建立了连接的主机所开的端口。
防御：通过在阿姆瑞特防火墙设置防止扫描的规则，并自动阻断扫描企图。
 缓冲区溢出
概览：由于在很多的服务程序中大意的程序员使用象strcpy(),strcat()类似的不进行有效位检查的函数，黑客向系统发出超出缓冲区大小的数据处理请求时，便会引发溢出，并弹出错误对话框，我们常看到的“非法操作”其实也是可能是由于溢出。而当溢出时，eip发生错误，有汇编知识的朋友应该记得，eip是控制执行代码的位置,这时加入一段恶性代码，算好发生溢出时的eip值，这样溢出时就会执行恶性代码。一般是得到一个具有管理员权限的cmd shell.
防御：通过在阿姆瑞特防火墙设置IPS规则，禁止导致缓冲区溢出的数据包到达服务器，从而保护服务器的安全。
三、阿姆瑞特防火墙在校园网应用经验和技巧
对于许多高校，拥有多个出口。阿姆瑞特防火墙具有强大的策略路由功能，可以将防火墙放置与核心交换机与CNC/Cernet之间。放置在CNC接入和Cernet接入于核心交换机之间的防火墙产品除了具有吞吐量、并发、NAT能力强大的性能要求以外，该产品还需要支持基于策略的路由功能，否则无法完成接入。
通过防火墙卓越的性能保证网络正常使用；通过防火墙基于策略的路由功能，不同的数据包选择高校不同的出口；通过防火墙完善的功能保护校园网和服务器不受黑客的攻击和蠕虫的侵扰。产品部署示意图如下：
 

对于学校的服务器，建议放置在防火墙的DMZ区域，这样保证Internet用户和内网用户访问它的安全性。对于有多个出口的学校，在部署服务器的时候，建议在CNC和Cernet上配置对于的IP地址，通过防火墙的地址映射功能映射到服务器上。通过这样的部署，CNC用户可以通过CNC地址访问服务器，Cernet用户通过Cernet地址访问服务器，保证用户最快速度访问到服务器。防火墙部署示意图如下：
 
防火墙部署策略如下：
 NAT转换，保证老师、学生上网；
 访问控制，保证网络访问的安全性；
 抵御黑客攻击规则，保证网络的安全性；
 策略路由功能，保证不同地址不同出口；
 地址映射功能，保证服务器正常对外提供服务；
 正常情况下，CNC用户访问CNC地址；
 正常情况下，Cernet用户访问Cernet地址；
 访问Internet链路备份功能，当一台链路有问题时候，由内到外访问可以动态切换到另一台链路；
 访问服务器链路备份功能，当一台链路有问题时候，由外到内访问服务器可以动态切换到另一台链路；

文章转载地址：http://www.365master.com/kt_article_show.php?article_id=9299&categ_code=10041007